Proaktif tehdit avı, Güvenlik Operasyon Merkezi (SOC) analistleri ve yönetilen güvenlik hizmeti sağlayıcıları (MSSPS) için önemli bir disiplin haline gelmiştir.
Geleneksel algılama yöntemleri genellikle yeni veya sofistike düşmanlık tekniklerini kaçırır, bu da güvenlik ekiplerinin gelişmiş araçlardan ve metodolojilerden yararlanmasını kritik hale getirir.
RUN’un Tehdit İstihbarat Araması (Ti Lookup), analistlere, uzlaşma göstergeleri (IOC’ler), davranış göstergeleri (IOBS) ve doğrudan geniş bir etkileşimli sanalbox ortamından kaynaklanan saldırı göstergeleri (IOA’lar) göstergeleri ile güçlendirir.
Ti Lookup’ın temel yeteneklerinin kilidini açma
TI Lookup, 15.000 kurumsal SOC ekibi de dahil olmak üzere 500.000’den fazla sanal alan kullanıcısının katkılarıyla zenginleştirilmiş bir kötü amaçlı yazılım veritabanına anında erişim sağlar.
50 deneme talebi mevcut olduğunda, tek bir sorgu, hedeflenen araştırmalar için yüzlerce ilgili oturum, örnek ve eser döndürebilir. Temel işlevler şunları içerir:
- IOC Aramaları: Şüpheli eserleri doğrulamak için Hashes, IP adresleri, alan adları ve URL’leri arama.
- Davranışsal Aramalar: Kayıt Defteri Değişikliklerini, Süreç Etkinliklerini, Ağ İletişimlerini ve Mutex Kreasyonlarını Tanımlayın – Yerleşik IOC’lerden yoksun ortaya çıkan tehditleri tespit etmek için kritik.
- MITER ATT & CK Entegrasyonu: Avları bilinen düşman çerçeveleriyle hizalamak için sorgulara özgü taktikler, teknikler ve prosedürler (TTP’ler).
- Dosya/Olay Korelasyonu: Daha geniş saldırı kampanyalarını ortaya çıkarmak için farklı eserler arasındaki ilişkileri ortaya çıkarın.
- Yara tabanlı sorgular: Kesin dosya karakteristik eşleşmeleri için desen tabanlı aramaları yürüt.
- Gelişmiş Sorgu Sözdizimi: Karmaşık, bağlamsal av senaryoları için 40’tan fazla parametreden, joker karakter ve mantıksal operatörlerden (veya değil, parantez, *,?, ^, $) Kullanın.
Pratik tehdit avcılık kullanım durumları
- Ülke temelli tespit:
Coğrafi filtreleme (örneğin, SubmissionCountry: ”Br” ve TehditName: “Kimlik avı”) bölgesel kimlik avı eğilimlerini ortaya koyarken: “In” i komutanı: ”Powershell” ve Tehditsel ”ile birleştirir. - MITER TECHICE ODAKLI SORULAR:
- Komut ve Script Yürütme (T1059): (MITER: ”T1059” ve (Commandline: ”PowerShell” veya ImagePath: ”MSHTA.EXE”) PowerShell veya MSHTA.EXE kullanılarak Sandbox olaylarını yüzeye çıkar.
- Kayıt Defteri Kalıcılık (T1547): MITER: ”T1547” ve RegistryKey: ”CurrentVersion \\ Run”, Windows Kayıt Defteri aracılığıyla kötü amaçlı otomatik olarak başlatma davranışlarını tanımlar.
- Gizli dosya davranışı:
Standart olmayan dizinlerde saklanan yürütülebilir ürünleri algılayın: FileExtension: “exe” ve FilePath değil: “Windows*” ve FilePath: ”Program Dosyaları*”. Komut dosyası ile spot komut dosyası tabanlı gizleme: “Powershell” ve FileExtension: ”JS”. - Kalıcılık ve muteks avı:
Remcos Truva Örneklerini tespit etmek için SyncobjectName: “RMC” kullanarak kötü amaçlı yazılım muteksleri bulun. - Etki Alanı Üretim Algoritması (DGA) Algılama:
Hedef Cheap-tld DGAS: DomainName: ”. Top” veya DomainName: ”. Xyz” ve (HedefPort: ”80” veya DestinationPort: ”443”) ve tehdit seviyesi: ”kötü niyetli”. DomainName aracılığıyla CloudFlare ile barındırılan kimlik avı tanımlayın: ”. Workers.dev” ve tehdit seviyesi: “kötü niyetli”. - Kötü Yazılım Aile Davranışı:
- Formbook: TehditName: ”Formbook” veya (MITER: “T1055” ve RegistryKey: ”CurrentVersion \\ Run” ve FileExtension: ”exe”).
- Asyncrat: TehditName: ”Asyncrat” ve (komuta: ”mshta.exe” veya komut çizgisi: ”PowerShell”).
- Tematik Arama Abonelikleri:
Bilinen Stealer adlarını kayıt defteri erişim modelleriyle birleştiren özel sorgulara abone olarak kimlik bilgisi stealer kampanyaları için otomatik uyarılar alın.
Ti aramalarını SOC oyun kitaplarına entegre ederek, analistler, iki saniyelik sorgu yanıtları yoluyla ortalama yanıt vermeyi (MTTR) kesebilir, zengin tehdit zekası ile uyarıları bağlamsallaştırabilir ve proaktif olarak görünmeyen tehditleri yükselmeden önce avlayabilirler.
Bölgesel saldırı dalgalarının izole edilmesi, ister belirli grafik tekniklerine sıfırlama veya karmaşık çok vektör kampanyalarını haritalama olsun, herhangi bir.Run’un TI araması, SOC ekiplerini ve MSSP’leri hızlı, bilgilendirilmiş karar verme için gereken eyleme geçirilebilir verilerle donatır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.